Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

アウトドア用品サイト「ナチュラム」に不正アクセス - 最大65万件の個人情報が流出

ミネルヴァ・ホールディングス(旧ナチュラム)の子会社であるナチュラム・イーコマースが運営しているショッピングサイトが、不正アクセスの被害に遭い、カード情報を含む最大約65万件の個人情報が流出したことがわかった。

同サイトのメンテナンス用サーバが、外部からの不正アクセスによりバックドアを設置されたもの。PC向けサイト「アウトドア&フィッシングナチュラム」をはじめ、携帯電話向けサイト「ナチュラムモバイルショップ」、会員向けブログサービス「blog@naturum」の3サイトが利用する顧客データベースが外部から閲覧されたという。

7月9日、同社に対しクレジットカード会社からカード情報の流出について調査依頼があり、7月10日に不正アクセスが発覚。7月18日に個人情報へのアクセスが確認された。流出規模はわかっておらず、データベースに保存されていたカード情報8万6169件を含む最大65万3424件の個人情報が流出した可能性がある。

流出した個人情報の内容は、2000年5月から2008年7月10日までに同サイトへ会員情報を登録した顧客情報で、氏名や住所、メールアドレス、ユーザーID、パスワードのほか、任意で登録が行えた電話番号やファックス、家族構成、性別など含まれる。またクレジットカード情報は、カード名義や有効期限、カード番号の一部が記録されていた。

データベースへのアクセスは、SQLインジェクション攻撃によるものではないが、サーバへ不正に侵入する過程で同攻撃が利用された可能性が高いという。

同社では、8月6日の事件公表に合わせ、顧客に対してメールにより事件について説明を行い、パスワードの変更を依頼した。現在警察へ捜査協力を行っており、PCI DSSへの準拠などセキュリティ強化を進める。

また同社は、不正アクセスが発覚した7月10日に保有するカード情報を削除、カード決済の提供を一時停止したが、その後セキュリティ調査会社により安全性が確認されたとして7月22日よりカード決済を再開。被害者への謝罪として、8月6日から10月31日まで「アウトドア&フィッシングナチュラム」において5%の割引を行う。

(Security NEXT - 2008/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

新卒採用アカウントに不正アクセス、スパム送信や個人情報流出など - ダイドードリンコ
学生がフィッシング被害、迷惑メール約29万件の踏み台に - 新潟大
ゲームグッズ通販サイトでクレカ情報流出 - 流出済情報の有効性確認と見られる痕跡も
農業求人サイトに不正アクセス、情報流出の可能性 - スパムや不審郵便物届く
Q&AサイトのQuoraに不正アクセス - 利用者情報1億件が流出か
クラフト素材の通販サイト「ZOWHOW」に不正アクセス - クレカ情報流出か
不正アクセスで会員情報約1万件が流出 - リガク
バンコク事務所のサーバにバックドア、情報流出の可能性 - JETRO
職員メールアカウントに不正アクセス、PWを類推か - 早大
結婚式招待状の通販サイトに不正アクセス - メアド約2.8万件が流出か